La exdirectora de administración cesada deberá comparecer como investigada ante el Juzgado de Instrucción 18 el próximo 12 de noviembre. El juez solicita también a las autoridades de Hong Kong datos de identidad de personas titulares y autorizadas en diversas cuentas de la entidad Bank of China.
|
etiquetas: estafa , valencia , emt , celia zafra
1.- Se consigue el acceso a una cuenta de correo electrónico "critica" mediante un correo con un bicho. El típico albarán con troyano, etc. Seguramente ha sido la cuenta de la actual imputada. En mi caso fueron dos empresas, PROVEEDORA SL Y CLIENTE SL
2.- Durante *varios meses se monitoriza por IMAP* el contenido del correo de la directora de Administración de PROVEEDORA SL y se va analizando el perfil de la empresa y de sus relaciones con otras empresas.
3.- Una vez que ya se tiene información suficiente y se ha planificado el golpe, se ejecuta mediante la suplantación de correos.
4.- Se envía un correo al departamento financiero de CLIENTE SL simulando ser la directora de administración de PROVEEDORA SL, incluyendo irmas de correo, etc, indicando que "por una auditoría de Hacienda necesitamos que las facturas siguentes las paguen en la cuenta XXXXX"
5.- El departamento financiero de Cliente SL no pide autenticación de titularidad de esa cuenta XXXXX y paga. El banco, que debería parar la transferencia porque no coincide titular e IBAN, la tira hacia adelante.
Resultado final: 150.000€ de estafa.
Culpables: La directora de administración de PROVEEDOR por abrir un correo malicioso que permitió el robo de su contraseña, los de financiero de CLIENTE por no pedir certificación de titularidad y los del banco por no parar una transferencia que incumple una norma bancaria fundamental.
Con esta mujer, me juego el pescuezo a que simplemente ha sido víctima de una estafa como se lleva haciendo muchos años.
Ha cometido un error seguro: Fiarse de un correo que tenía toda la apariencia de ser de su director general y saltarse los mecanismos de firma electrónica de la entidad. Ese es su error y su culpa. Pero estoy seguro que no se ha llevado un duro.
Ha sido un caso claro de suplantación de identidad que solo funciona cuando la empresa no se toma en serio sus propios protocolos de actuación. El clásico "siempre se ha hecho así".
Por supuesto alguien se tiene que comer el marrón y no va a ser el jefe obviamente.
Es una pena la lluvia de sospechas y difamaciones que le está cayendo a esta persona por, básicamente, no discutir al que ella pensaba que era su jefe.
Ah, lo peor: el mundo no está preparado para perseguir esto. La IP europea, la empresa en América que si delito internacional, fiscal general del estado, y la pelota de lado a lado del Atlántico. El dominio de suplantación comprado por 9 euros con Bitcoin. Más burdo y barato imposible.
Y lo más elaborado, que no es para echar cohetes, lo viví hace 5 años. 90k que se volatilizaron porque salió una factura, en PDF, y llegó, a una de las cadenas más importantes de distribución en España, exactamente igual pero con el número de cuenta cambiado. Y me enteré porque el remitente me llamó para quejarse amargamente de que su antivirus, del que éramos proveedores, no había saltado. El jefe de informática. Ese es el nivel.
El interventor de la primera sucursal paró la trasferencia y llamó a mí cliente para verificar si estaban siendo usados en una estafa.
Pero el de la otra sucursal debió haber un siguiente, siguiente, finalizar para no marear el día.
Un alto ejecutivo de banca, en riesgos internacionales, me comenta que en mi caso se lo va a comer el banco, aunque no siempre es así.
De hecho en mi caso hubo tres cuentas de la misma entidad. De una de ellas el interventor llamo a mi cliente advirtiendo que paraba la trasferencia y que podrían estar siendo estafados.
Las otras dos tiraron para adelante.
clientebancario.bde.es/pcb/es/menu-horizontal/productosservici/servici
Otra cosa es que haya procesos para detectar blanqueo de dinero, transferencias a cuentas inexistentes o bloqueadas, etc... Que requieran intervención manual.
Pero no hay obligación de chequear beneficiario y titular de cuenta en zona Sepa.